DSGVO, wir kommen!
Die Datenschutzgrundverordnung (DSGVO), die vor knapp zwei Jahren eingeführt und europaweit ab dem 25.05.2018 anwendbar wird, hat bei uns wie auch bei vielen anderen zu Fragen und Unsicherheiten geführt. Nun sind wir aber langsam aber sicher auf der Zielgeraden, die nötigen Vorgaben fristgerecht umzusetzen. Dazu gehört neben diversen neuen Dokumentationspflichten insbesondere die Bereitstellung eines Vertrags zur Auftragsverarbeitung, der aktuell in Kooperation mit unserem externen Datenschutzbeauftragen finalisiert wird und mit dem voraussichtlich in der nächsten Woche gerechnet werden kann.
Apropos! Wir haben so einige Zeit gerätselt, ob wir gemäß der Anforderungen des Bundesdatenschutzgesetzes (BDSG) und/oder der DSGVO bereits die Kriterien erfüllen, um einen Datenschutzbeauftragten benennen zu müssen oder nicht: Was sind Personen, die “regelmäßig mit automatisierter Datenverarbeitung (Erhebung und Nutzung) zu tun haben”? Trifft das auf einen Supportmitarbeiter zu? Trifft es auf einen Mitarbeiter zu, der lediglich das Blech in ein Rack schraubt? Trifft es auf die Buchhalterin zu, die Kontoumsätze abfragt, aber auf Server keinen Zugriff hat? Wird bei der Verarbeitung von persönlichen Daten ein Detailgrad überschritten, der die Bestellung eines Datenschutzbeauftragten erforderlich macht? Ist Webhosting Auftragsdatenverarbeitung, wenn die Software, die vielleicht am Ende eine Lücke hat und persönliche Daten leakt, nicht von uns, sondern von unseren Usern installiert wird? Ist das Anfertigen von Backups Auftragsdatenverarbeitung, obwohl wir damit nur bestehende Sorgfaltspflichten erfüllen? Fragen über Fragen, und wer sich erst ins offene Feld der Jura-Foren bewegt, der versteht in der Regel hinterher eher weniger als mehr. Um dies ein wenig zu verdeutlichen - kleiner Rückblick:
Es war 2011 und damit im IT-Leben eine halbe Ewigkeit her, als IT-Fachanwalt Thomas Stadler unter dem wunderbaren Titel Aberwitziger Datenschutz made in Germany bloggte:
Wenn man zudem das Hosting, wie es der Landesdatenschutzbeauftragte tut, als Auftragsdatenverarbeitung im Sinne von § 11 BDSG begreift, müssten damit eigentlich fast alle deutschen Websites vom Netz genommen werden und Massenhoster wie 1&1 und Strato könnten ihr Geschäft sofort einstellen. Denn wenn die Rechtsansicht der Datenschutzbehörde zutreffend wäre, würde dies bedeuten, dass jeder Webseitenbetreiber mit seinem Host-Provider eine schriftliche Vereinbarung über eine Auftragsdatenverarbeitung abschließen müsste, die die äußerst strengen Anforderungen von § 11 Abs. 2 BDSG erfüllt. Die Haltung des niedersächsischen Landesbeauftragten kann man daher getrost als aberwitzig bezeichnen.
Wir sind dieser Lesart offen gesagt ziemlich lange gefolgt, müssen aber anerkennen, dass sich spätestens im Kontext des DSGVO-Flächenbrands der Wind dahin gedreht hat, dass sich die Situation heute so darstellt, dass Herrn Stadlers als “abwitzig” beurteilte Einschätzung heute in großer Breite als Stand der Dinge angesehen wird - denn letzten Endes können wir technisch gesehen auf die Daten unserer User zugreifen; das ist eben so und wir machen daraus auch kein Geheimnis. Wenn nun ein Shop bei uns gehostet wird und ein Endkunde dort eine Bestellung tätigt, fließen natürlich logischerweise dessen persönliche Daten durch unseren Webserver; das, was man gemeinhin als “Verarbeitung” betrachten würde, passiert dann aber in der Shopsoftware - die diese Daten höchstwahrscheinlich in eine Datenbank schreibt, sie aktualisiert und archiviert. Diese Shopsoftware haben wir aber weder installiert, noch benutzen wir jene, noch warten wir jene, noch kennen wir jene. Es erschien uns insofern nie wirklich plausibel, inwiefern wir hier Daten im Auftrag verarbeiten sollten - ein Grund, warum wir uns lange gegen den Abschluss von Verträgen zur Auftragsverarbeitung gewehrt haben (man beachte die Vergangenheitsform).
Was man nicht vermeiden kann, das sollte man besser lieben lernen. Die DSGVO mit offenen Armen zu empfangen, ist aber leichter gesagt als getan: Selbst viele Anwälte betrachten sie als eines der sperrigeren Dokumente, mit denen man so im Unternehmensalltag konfrontiert wird, und das ist ein Problem.
Niemand von uns ist Jurist, und niemand von uns brennt für die entsprechenden Gesetzestexte. Wir sind IT-Menschen und interessieren uns für Protokolle, Verschlüsselung, Rechtetrennung, Anonymisierung, Pseudonymisierung, für Datenschutz im Sinne von “Wir wollen nicht, dass deine Daten verlorengehen” und auch Sinne von “Wir wollen nicht, dass deine Daten in falsche Hände geraten”. Unser Geschäftsmodell basiert auch nicht auf der Verwertung deiner Daten, sondern darauf, uns für die Bereitstellung technischer Ressourcen sowie die entsprechende Unterstützung bezahlen zu lassen, damit wir von deinen Daten dafür getrost die Finger lassen können.
Was wir tun, tun wir mit Liebe, und uns ist insofern schon vor längerer Zeit klargeworden, dass uns jemand fehlt, der diese Liebe nicht nur für den Datenschutz, sondern vor allem auch für das Datenschutzrecht aufbringt. Nachdem es einige Zeit so aussah, dass wir dafür einen passenden Fachanwalt gefunden hatten, was sich dann aber in der Praxis als nicht unseren Vorstellungen entsprechend fruchtbar herausgestellt hat (und uns insofern noch einige Zeit im Plan hat zurückfallen lassen), können wir nun mit Freude verkünden, dass wir nach entsprechender Vorbereitung und persönlichen Gesprächen eine Rechtsanwaltsgesellschaft gefunden haben, die Datenschutzrecht mit Herzblut lebt, uns fortan in Datenschutzfragen berät und schult und auch als unser externer Datenschutzbeauftragter fungiert. Für uns sorgt das für weitaus besseren Schlaf, weil wir nun Leute an unserer Seite haben, die sich mit den rechtlichen Aspekten besser auskennen als wir, und für euch sollte es für besseren Schlaf sorgen, weil Rechtskonformität bei der Datenverarbeitung damit kein Fragezeichen mehr bleibt. Auf gute Zeiten!